El agregador DEX es víctima de una explotación de $16.8M en SwapNet tras omitir la aprobación

• Anuncio -

El agregador de intercambio descentralizado Matcha Meta ha confirmado un incidente de seguridad vinculado a su integración con SwapNet, resultando en una pérdida estimada de $16.8 millones.

La brecha fue señalada por primera vez por la firma de seguridad blockchain PeckShield, con un análisis técnico adicional proporcionado más tarde por CertiK.

Qué Salió Mal

Según los hallazgos compartidos por investigadores de seguridad, la explotación impactó específicamente a los usuarios que habían desactivado la función de “Aprobación Única” de Matcha Meta. Al optar por no participar, esos usuarios otorgaron permisos persistentes directamente al contrato del enrutador de SwapNet, creando una superficie de ataque que fue posteriormente abusada.

#PeckShieldAlert Matcha Meta ha reportado una violación de seguridad que involucra a SwapNet. Los usuarios que optaron por no participar en “Aprobaciones Únicas” están en riesgo.

Hasta ahora, se han drenado aproximadamente ~$16.8M en cripto.

En #Base, el atacante intercambió ~10.5M $USDC por ~3,655 $ETH y ha comenzado a transferir fondos a… https://t.co/QOyV4IU3P3 pic.twitter.com/6OOJd9cvyF

— PeckShieldAlert (@PeckShieldAlert) 26 de enero de 2026

CertiK identificó la causa raíz como una vulnerabilidad de “llamada arbitraria” en el contrato de SwapNet. Este fallo permitió a un atacante iniciar transferencias no autorizadas desde billeteras que habían aprobado previamente el enrutador, eludiendo efectivamente las salvaguardias normales.

Movimiento de Fondos y Alcance

La actividad en cadena muestra que el atacante intercambió aproximadamente $10.5 millones en USDC en Base por alrededor de 3,655 ETH, antes de transferir los activos a Ethereum. El movimiento entre cadenas parece estar diseñado para complicar los esfuerzos de seguimiento y recuperación.

Es importante destacar que el incidente no afectó a todos los usuarios de Matcha. La exposición se limitó a billeteras que habían desactivado manualmente las aprobaciones únicas y otorgado permisos directos a los contratos de SwapNet.

                Bitcoin Supera a Oro y Plata en Encuesta de Inversión de $100,000

Medidas de Respuesta de Emergencia

En respuesta a la explotación, Matcha Meta ha tomado varias medidas inmediatas:

• Los contratos de SwapNet han sido suspendidos para prevenir más pérdidas.
• Se ha instado a los usuarios a revocar las aprobaciones existentes, particularmente para el contrato del enrutador de SwapNet
  (0x616000e384Ef1C2B52f5f3A88D57a3B64F23757e).
• La plataforma ha eliminado la opción de desactivar las aprobaciones únicas, con el objetivo de reducir riesgos similares en el futuro.

El incidente destaca los compromisos de seguridad asociados con las aprobaciones de contrato persistentes y refuerza la importancia de las revisiones regulares de permisos, especialmente al interactuar con agregadores y contratos de enrutamiento.